高考问答霓虹灯下的哨兵:枫叶SQL通用防注入V1.0 ASP版好用吗?
来源:百度文库 编辑:高考问答 时间:2024/04/29 12:42:47
这个代码好用吗?大家来评价一下吧
防 范 方 法
SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:
Function SafeRequest(ParaName,ParaType)
''--- 传入参数 ---
''ParaName:参数名称-字符型
''ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim Paravalue
Paravalue=Request(ParaName)
If ParaType=1 then
If not isNumeric(Paravalue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
Paravalue=replace(Paravalue,"''","''''")
End if
SafeRequest=Paravalue
End function
请问该函数怎么用?该放哪里?具体说说
防 范 方 法
SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。在这里,我给大家一个函数,代替ASP中的Request函数,可以对一切的SQL注入Say NO,函数如下:
Function SafeRequest(ParaName,ParaType)
''--- 传入参数 ---
''ParaName:参数名称-字符型
''ParaType:参数类型-数字型(1表示以上参数是数字,0表示以上参数为字符)
Dim Paravalue
Paravalue=Request(ParaName)
If ParaType=1 then
If not isNumeric(Paravalue) then
Response.write "参数" & ParaName & "必须为数字型!"
Response.end
End if
Else
Paravalue=replace(Paravalue,"''","''''")
End if
SafeRequest=Paravalue
End function
请问该函数怎么用?该放哪里?具体说说
只能挡住菜鸟和一些工具
如果遇到研究过ASP的高手的话,也是干瞪眼。
如果真的想防注入,最好的方法就是好好研究下ASP语言;或者看看xiaolu写的《注入天书》,知道ASP是怎么注入的,再来防护!
哈哈,真是个好学的孩子,真的看《注入天书》了,不过我也只是ASP注入的爱好者,只会注不会防。
我也只能告诉你,一般注入点只在有参数的地方,参数的地方需要过滤,你试试能不能按照xiaolu说的那样修改,不一定是要方在哪!